php中的eval()与create_function()

 * eval()与create_function()

 * 一、eval()

 * 1.eval()函数把字符串按照 PHP 代码来计算

 * 2.该字符串必须是合法的 PHP 代码，且必须以分号结尾

 * 3.如果没有在代码字符串中调用 return 语句，则返回 NULL

 * 4.如果代码中存在解析错误，则 eval() 函数返回 false

 * 5.该函数对于在数据库文本字段中供日后计算而进行的代码存储很有用

 * 二、create_function('参数','函数体代码'):创建匿名函数

//以下二条语句功能完全一样

eval('echo 4+5;');  //输出9
echo eval('return 4+5;'); //返回9并显示在屏幕上

//尽管上面二条语句功能一样,但返回值不相同

//所以,如果想要引用eval()返回值,必须在语句字符串中使用return

var_dump(eval('echo 4+5;')); //返回 NULL
var_dump(eval('return 4+5;')); //返回 9

//eval()注入攻击演示

isset($_GET['p']) ? eval($_GET['p']) : null;

//现在在url后面添加 ?p=phpinfo(); 或其它php合法语句,会直接执行,注入成功

//你可以加入你的广告,你的跳转地址等,达到恶意攻击的目的

//用create_functoin()创建匿名函数

//因为该函数已被弃用,部分编辑器会给出警告,多说无益

//知道这个函数曾经来过这个世界上就足够了

$func1 = create_function('$a,$b', 'return ($a+$b);');
echo $func1(10,20);

Atas ialah kandungan terperinci php中的eval()与create_function(). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!